返回
动态访问控制列表的介绍与配置

动态访问控制列表的介绍与配置

ID:34746017

大小:57.18 KB

页数:4页

时间:2019-03-10

动态访问控制列表的介绍与配置_第1页
动态访问控制列表的介绍与配置_第2页
动态访问控制列表的介绍与配置_第3页
动态访问控制列表的介绍与配置_第4页
资源描述:

《动态访问控制列表的介绍与配置》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Lock-and-key(Dynamicacl)是动态过滤IP协议流量的流量过滤安全特性。它使用IP动态扩展访问列表配置。它可以联合其它标准访问列表和静态扩展访问列表使用。当配置了lock-and-key,指定用户的一般情况下会被阻塞掉的IP流量会获得一个临时性的权限通过路由器。一旦被触发,lock-and-key重新配置接口已经存在的acl以允许用户到达他们指定的主机。在使用过之后,lock-and-key会将该接口配置为原来的状态。认证过程:Usertelnetfilter_routerLock-and-keyautomaticallyattemptstoauthentica

2、tetheuserandreconfiguretheacloftheinterfaceUsergainatemporaryaccessthroughthefilter_routerNowusercanreachtheirdestinationhost.Lock-and-key的优点:使用挑战机制认证单个用户在大型网络环境中支持简单的管理在许多情况下减少路由器对ACL的CPU处理要求减少被网络上的hackers攻破的机会什么时候使用动访(lock-and-key)远程设备访问本地设备本地设备有限地访问远程设备动访如何工作:1.一个用户打开一个telnet会话到配置了动访的边界路由器

3、。该用户是通过虚拟终端连接到该路由器2.思科IOS接收到telnet数据包,打开一个telnet会话,要求输入密码实施用户验证进程,用户想要通过该路由器访问另一端的设备必须通过认证。这一步可以通过本地路由器验证,也可以由诸如TACACS+或RADIUS服务器之类的一个中心安全访问中心来实施。3.用户通过认证,然后登出telnet会话,软件产生在动态访问列表里一个临时性的条目。4.用户通过防火墙交换数据。5.当配置的超时计时器到时,软件删除临时访问列表,或者可以由管理员手动删除之。注意:当用户终结会话之后软件不会自动删除临时访问列表,直到计时器超时或管理员手动删除。动访对路由器性能

4、的影响:当动访被触发的时候,动访会更新访问列表,这导致SSE交换路径会短暂性地失效。Dynamicaccesslistsrequiretheidletimeoutfacility(evenifthetimeoutislefttodefault)andthereforecannotbeSSEswitched.Theseentriesmustbehandledintheprotocolfast-switchingpath.当远程用户触发了边界路由器上的动访,附加的访问列表会被加入到边界路由器接口上。该接口上的访问列表会动态地增长或缩减。如果列表很大的话会影响数据包的转发性能。可以查看

5、接口以删除相应的访问列表。配置lock-and-key的步骤:1.router(config)#access-listaccess-list-number[dynamicdynamic-name[timeoutminutes]]{deny

6、permit}telnetsourcesource-wildcarddestinationdestination-wildcard[precedenceprecedence][tostos][established][log]配置一个动态访问列表以临时性地使用。2.Router(config)#access-listdynamic-extend

7、该命令可以在动访快要到时的时候重新进行telnet重认证以延长另外6分钟时间。(在原有的基础上每次递增6分钟)3.Router(config)#interfacetypenumber4.Router(config-if)#ipaccess-groupaccess-list-number5.Router(config-if)#exit6.Router(config)#linevtyline-number[ending-line-number]7.Router(config-line)#logintacacs或Router(config-line)#passwordpassword或

8、Router(config-line)#loginlocal或Router(config-line)#exit然后Router(config)#usernamenamepasswordsecret8.router(config-line)#autocommandaccess-enable[host][timeouttimeout]或Router(config)#autocommandaccess-enable[host][timeoutminutes]在全局状态下配置激活创建临时

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。